해킹당한 휴대전화, 사기범들은 어떻게 정보를 얻었을까?
정보 유출이 흔해지는 요즘, 우리는 해킹을 당했을 때 어떻게 대응해야 하는지 모를 때가 많다.
대수롭지 않게 넘기기도 하지만 위험이 따른다. 정보 유출 피해자가 되면 범죄자나 사기범의 표적이 될 가능성이 높아지기 때문이다.
수 쇼어는 BBC에 사기범들이 자신을 어떻게 노렸는지 공유했다. 그리고 우리는 실제 그의 정보가 온라인에 유출된 것을 발견했다.
수는 '유심 교체' 공격의 피해자다. 이는 사기범들이 통신사 직원에게 계정 소유자인 것처럼 속여 새로운 심카드를 발급받는 방식이다.
사기범들은 이러한 수법으로 그의 휴대폰을 통해 모든 온라인 계정을 장악했다. 그는 이 경험이 "끔찍했다"고 말했다.
"사기범들이 나의 지메일 계정을 장악한 뒤 은행 보안 확인을 실패하게 했고 결국 내 계좌가 잠기도록 만들었습니다."
수의 이름으로 신용카드가 발급됐고 범죄자들은 3000파운드(약 580만 원)가 넘는 바우처를 구매했다.
그는 자신의 계정을 되찾기 위해 은행과 통신사를 여러 차례 방문해야 했다.
절도범들의 공격은 이것이 끝이 아니었다.
"범죄자들은 저의 왓츠앱까지 침입한 뒤 사악한 일을 했습니다. 제가 속한 승마 모임에 말을 찌르러 사람들이 오고 있다는 메시지를 보냈습니다."
BBC는 이메일 해킹 노출 여부를 확인할 수 있는 웹사이트를 사용해 해커 데이터베이스를 검색했고 수의 정보가 이전에 유출된 적이 있는지 확인했다.
그의 전화번호와 이메일 주소, 생년월일, 실제 주소는 2010년 도박 플랫폼과 2019년 이메일 인증 서비스에서 발생한 정보 유출에 노출되어 있었다. 다른 해킹 기록 목록에도 그의 정보가 포함되어 있었다.
사이버 보안 기업 실로브레이커의 해나 바움가르트너는 "공격자들이 이전에 유출된 그의 개인정보를 이용해 유심 교체 공격을 시도했을 가능성이 높다"고 말했다.
아울러 "그들이 수의 전화번호를 확보했다면 그의 지메일 계정 인증을 위해 전송된 보안코드를 가로챌 수 있었을 것"이라 설명했다.
넷플릭스 계정 탈취
하지만 사기범들이 항상 큰 돈을 노리는 것은 아니다.
브라질의 프란은 BBC에 "자신의 넷플릭스 계정에 누군가 사용 등록을 하고 월 구독료를 올린 사실을 발견했다"고 말했다.
그는 "내가 구매하지도 않았는데 결제 카드에서 9.9달러가 청구됐다"라며 "바로 가족에게 연락해 우리가 공유하는 넷플릭스 계정에 누가 프로필을 추가했는지 물어봤지만, 모두 모르는 일이라고 했다"라고 설명했다.
프란은 넷플릭스 계정이 무단 이용자에게 탈취되는 흔한 사기의 피해자다.
그들이 정확히 어떻게 계정에 접근했는지 알 수 없으며 사이버 범죄 세계에서 단일 정보 유출이 사기로 이어졌는지 특정하기는 어렵다.
하지만 BBC는 프란의 이메일 주소가 최소 4건의 정보 유출에 노출된 것을 확인했다.
그가 넷플릭스에 사용한 비밀번호는 공개된 데이터 베이스에는 없었지만, 다른 곳에 있을 가능성이 있다.
사이버 보안 기업 허드슨 록의 공동 창업자인 알론 갈은 "불법으로 탈취된 넷플릭스, 디즈니, 스포티파이 계정 시장이 매우 크다"라며 "이는 사이버 범죄의 진입 장벽이 낮은 지점으로, 한 회사의 데이터 유출이 광범위하고 지속적인 악용으로 이어질 수 있다"라고 지적했다.
사기범들은 종종 도난당한 개인정보와 공개 정보를 결합하기도 한다.
페이스북 광고로 소규모 사업을 운영하는 레아(가명)는 최근 베트남에서 시작된 것으로 추정되는 사기 공격의 표적이 됐다.
"notifications@facebookmail.com에서 환불 예정이라는 피싱 이메일을 받았어요. 링크를 클릭해 가짜 메타 페이지에 저의 정보를 입력했더니, 2단계 인증을 설정했음에도 사기범들이 저의 사업 계정을 탈취했습니다."
"그들은 내 이름으로 아동 성착취 영상을 게시해 계정이 정지됐고 심지어 메타에 항의하려했던 메신저도 사용할 수 없었습니다."
레아가 사업 계정을 되찾는 데 사흘이 걸렸고, 그 동안 사기범들은 그의 돈으로 수백 파운드 상당의 광고를 게재했다. 그는 다행히 돈을 돌려받을 수 있었다.
사이버 위협 분석 기업인 콘스텔라 인텔리전스의 알베르토 카사레스는 해커 데이터베이스를 검색해 레아의 이메일 주소와 기타 정보가 유출된 것을 발견했다.
"공격자들은 레아의 유출된 개인 이메일 주소와 공개된 사업 전화번호를 연결하는 일반적인 방식을 이용해 표적 피싱 공격을 한 것으로 추정됩니다."
카사레스는 사기범들이 직접 이 작업을 수행했거나 잠재적 표적 목록을 구매했을 수도 있다고 덧붙였다.
대규모 데이터 유출
대규모 데이터 유출은 전 세계에서 사기와 2차 해킹 피해를 유발하고 있으며 2025년에도 여러 대형 공격이 발생했다.
- 코옵(Co-op): 4월, 해킹으로 650만 명의 데이터 유출
- 막스 앤 스펜서(Marks & Spencer): 같은 시기 해킹돼 수백만 명이 피해 – 정확한 피해 규모 공개하지 않음
- 해러즈(Harrods): 40만 명의 명품 매장 고객 데이터 유출
- 콴타스(Qantas) 항공: 해킹으로 570만 명 승객 피해
데이터 유출 관측소 프로톤 메일에 따르면 2025년 현재 확인된 유출은 794건으로, 3억 건 이상의 개인 기록이 노출됐다.
프로톤 메일의 이몬 맥과이어는 "범죄자들은 도난당한 정보에 프리미엄 가격을 지불한다"며 "사기와 협박, 사이버 공격을 통해 지속적으로 수익을 창출할 수 있다"고 설명했다.
한국 역시 통신사들을 중심으로 대규모 정보 유출 사건이 이어지고 있다.
지난 4월에는 SK텔레콤 가입자 약 2300만여 명의 개인정보가 유출됐으며 KT는 5561명의 정보가 유출되어 무단 소액결제 및 해킹 피해를 입었다.
해킹을 당했을 경우 기업들이 고객과 규제 당국에 유출 사실을 알리는 것 외에 피해자를 위해 무엇을 해야 한다는 명확한 규정은 없다.
과거에는 무료 신용 모니터링 서비스를 제공하는 것이 일반적이었다. 실제 지난해 5억 명이 피해를 본 '티켓 마스터'는 일부 고객에게 이를 제공했다.
하지만 올해는 이러한 서비스를 제공하는 기업이 줄었다. 막스앤스펜서와 콴타스는 이런 서비스를 제공하지 않은 대표적인 사례다.
코옵은 피해 고객에게 자사 매장에서 40파운드(약 7만 7600원) 이상 구매 시 10파운드(약 1만 9400원) 바우처를 제공했다.
일부 피해자들은 법원에서 보상을 요구하고 있고 집단 소송도 증가하는 추세이지만 개인별 피해 입증이 매우 어려워 승소하기는 쉽지 않다.
물론 성공 사례도 있다.
지난 2021년 7600만 명이 피해를 본 대규모 데이터 유출 사건과 관련해 미국의 통신사 티모바일은 고객들에게 보상금을 지급하기 시작했다.
회사는 3억 5000만 달러(약 5145억 원)를 지급하기로 합의했으며 1인당 지급액은 50달러(약 73500원)에서 300달러(약 441000원) 사이로 알려졌다.
- 유명 암호화폐 기업 '코인베이스', 사이버 해킹 공격으로 최대 6000억원 손실
- '은퇴하게 해줄게' … 기자에게 BBC 해킹을 도와달라고 접근한 범죄집단
- 내가 죽으면 내 소셜 미디어 계정은 어떻게 될까?
- '가장 친한 친구가 절 딥페이크 범죄에 이용했습니다'
- 10만여 명 상대로 사기 친 후 수조 원대 비트코인 챙긴 중국의 '암호화폐 여왕'
- KT·롯데카드 연이은 해킹 피해 …정부 '근본 대책 마련'
